标签: java

11 篇文章

thumbnail
Java反序列化(十二) | Fastjson②1.2.24-68总结
Java反序列化(十二) | Fastjson②1.2.24-68总结 介绍什么的就不说了,简介以及1.2.24的复现和详细分析可以看 Java反序列化(十) | Fastjson - CVE-2017-18349 需要注意的是在java版本大于1.8u191之后版本存在trustCodebaseURL的限制,只能信任已有的codebase地址,不…
thumbnail
Java反序列化(十) | Fastjson – CVE-2017-18349
Java反序列化(十) | Fastjson - CVE-2017-18349 Fastjson和Jackson这两个版块的都是由于反序列化json数据导致漏洞形成, 而且Fastjson有很多版本的绕过,在这里就先开始学习Fastjson的两个CEV, 后续对不同版本的绕过再总结一下, 网上已经有很好的文章了,所以复现这两个CVE了解原理之后就直…
thumbnail
Spring源码分析
Spring源码分析 ​ 经过周末两天对源码的学习只能说千万别扣细节,那简直就是一个无底洞,现在已经被劝退了。这个文章就是一些资料和零散的学习笔记,属实没时间精力去完善整理这两天学习的东西了。 B站学习链接 一些知识流程图 Main函数 我们直接在整个项目的第一步main函数的第一句开始打断点进去逐步调试看源码的整个运行流程 一些重要类的介绍 这里…
thumbnail
SpringWeb项目搭建
SpringMVC架构 DispatcherServlet:前端控制器 用户请求到达前端控制器,它就相当于mvc模式中的c, dispatcherServlet是整个流程控制的中心,由它调用其它组件处理用户的请 求,dispatcherServlet的存在降低了组件之间的耦合性。 HandlerMapping:处理器映射器 HandlerMappi…
thumbnail
CVE-2019-0230 | Struts2-059 远程代码执行漏洞
CVE-2019-0230 | Struts2-059 远程代码执行漏洞 2020年8月13日,Apache官方发布了一则公告,该公告称Apache Struts2使用某些标签时,会对标签属性值进行二次表达式解析,当标签属性值使用了%{skillName}并且skillName的值用户可以控制,就会造成OGNL表达式执行。 影响版本: Apache…
thumbnail
Shiro漏洞CVE总结合集
Shiro漏洞CVE总结合集 这里对Shiro的漏洞CVE做了一些归纳整理,主要两个方面: 1.加密方式可知被使用加密数据反序列化 2.Spring与Shiro对URL匹配规则的差异导致权限绕过 CVE-2016-4437 影响版本: Apache Shiro<1.2.5 当未修改用于“remember me”特征的AES密钥时,存在反序列化…
thumbnail
CVE-2020-13933 | Shiro权限绕过漏洞
CVE-2020-13933 | Shiro权限绕过漏洞 这次调试查看Shiro权限绕过漏洞可以说是在于开始对Java的部署和调试开始得心应手起来了,相比这个漏洞而言,感觉这次学习让我对Java分析思路的了解是更加重要的,跟了这个漏洞之后再去学习其它的Shiro-CVE和Fastjson还有JSON应该就简单多了。 关于漏洞 CVE-2020-13…
thumbnail
Shiro未授权漏洞解析环境搭建
Shiro未授权漏洞解析环境搭建 为了深入了解一下这个漏洞的原理花了我好多时间, 又是麻麻的一次学习, 在这里先说一下怎么把环境搭起来吧, 网上很多漏洞解析文章但是搭建环境总是出现这样那样的问题, 先说一下, 完全照着操作也不一定能成功跑起来。我也是按照别人的指南部署项目之后还是运行失败, 最后自己修改了一些配置才跑起来的。 环境搭建 之前直接在 …
thumbnail
java的反序列化(一)What’s java’s serialize&unserialize
序列化和反序列化 序列化 将一个类对象转换成为一段字节序列保存在文件中,和java的原生类writeObject对应 反序列化 将对象序列化生成的字节序列还原为一个对象,和java的原生类readObject对应 序列化条件 该类必须实现 java.io.Serializable 对象 该类的所有属性必须是可序列化的。如果有一个属性不是可序列化的,…